"Самый продвинутый" руткит появился под 64-битные версии Windows 7

image

Теги: руткит, вредоносное ПО

Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7. Ранее данный руткит существовал только в 32-битном варианте, новая версия нацелена на более современные системы.

Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7. Ранее данный руткит существовал только в 32-битном варианте, новая версия нацелена на более современные системы. В Prevx говорят, что руткит TDL, также известный как Alureon, может заражать 64-битные Windows 7, обходя расширенные компоненты защиты, изначально как раз и созданные для того, чтобы блокировать различного рода атаки.

Новое программное обеспечение было опубликовано в понедельник GFI Software. Согласно данным этой компании, руткит TDL4 проникает в 64-битные Windows 7, обходя системы ядра Windows, работающие на основе политик подписи исполняемого низкоуровневого кода. То есть, любой код на уровне ядра Windows, работающий в системе, должен иметь соответствующую подпись, говорящую о том, что данный код (чаще всего это драйвер) происходит из надежного источника.

После проникновения в систему, руткит модифицирует главную загрузочную запись на жестком диске компьютера, изменяя условия загрузки ОС. По словам создателей, руткит меняет MBR на диске и устанавливает специальную политику под названием LoadIntegrityCheckPolicy, которая блокирует процесс валидации загружаемых программ и позволяет запускать на уровне ядра другие неподписанные DLL-библиотеки.

Согласно данным компании Prevx, руткит TDL является "самым продвинутым" набором для удаленного управления компьютером. Использовать его можно как бэкдор для инсталляции клавиатурных шпионов и других видов злонамеренного программного обеспечения.

Разработчики говорят, что одна из наиболее продвинутых систем защиты в Windows - это подпись кода, кроме того в 64-битной версии системы используется также и технология PatchGuard, которая блокирует драйверы, пытающиеся заменить собой некоторые важные функции ядра системы Windows. TDL за счет операций с загрузочным сектором обходит оба этих момента.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus